Технология обмана. Что такое Deception и как теперь обманывают хакеров

Ты наверняка слышал про ханипоты — цели-приманки, по атакам на которые вычисляют хакеров. В последние годы эта технология проапгрейдилась и теперь носит общее название Deception. О том, в чем отличия и как хакеров пытаются водить за нос, мы и поговорим.

https://telegra.ph/Tehnologiya-obmana-CHto-takoe-Deception-i-kak-teper-obmanyvayut-hakerov-08-02

Как узнать реальный IP сайта скрытый за DDoS защитой

В нашем предыдущем материале мы уже затрагивали вопрос о том как узнать реальный IP сайта скрытый за CloudFlare а сегодня мы продолжим эту тему и допонлим ее новыми методиками определения адреса исследуемого сайта.

https://cryptoworld.su/kak-uznat-realnyj-ip-sajta-skrytyj-za-ddos-zashhitoj/

Сборочка ресурсов где потренится ломать веб приложения
https://junior.stillhackinganyway.nl/
https://academy.hackaflag.com.br/
http://ctf.infosecinstitute.com/
https://captf.com/practice-ctf/
https://www.hacksplaining.com/
http://www.hackthissite.org/
https://www.hacking-lab.com
https://defcon2018.ctfd.io/
https://ctf.hacker101.com/
https://attackdefense.com/
https://exploit.education/
https://immersivelabs.com/
http://ctf.komodosec.com/
http://freehackquest.com/
https://cmdchallenge.com/
https://www.root-me.org/
https://www.vulnhub.com/
https://ctf.hackucf.org/
https://cryptopals.com/
https://tryhackme.com/
https://hackthebox.eu
https://w3challs.com/
http://ctflearn.com/
https://365.csaw.io/
http://reversing.kr/
https://picoctf.com/
https://ctf365.com/
http://hax.tor.hu/
http://pwnable.tw/
https://hack.me/

Топ-12 инструментов для пентеста на Kali Linux и не только

Как понять, что проект уязвим? Мы собрали 12 популярных инструментов, которые широко используются пентестерами по всему миру, помогают находить бреши в безопасности и своевременно их устранять. Для удобства мы разделили их на 4 категории: комплексные инструменты, брутфорсеры, сканеры сетей и анализаторы трафика. Часть этих инструментов предустановлена в Kali Linux, а часть доступна для скачивания.

https://tproger.ru/articles/best-kali-linux-tools/

​​Онлайн Курс "Тестирование безопасности"
📒Состоит из 6 занятий!
😺 Ограниченное количество учеников - до 9 человек

Занятия в понедельник и ср 19:00 - 21:30
Все занятия онлайн. Мы поможем установить и настроить все необходимые инструменты и среду для обучения.

Мы предлагаем вам пройти обучение у практикующего специалиста по тестированию и поддержке безопасности программного обеспечения - Святослав Логин.
Больше подробностей о Святославе - https://svyat.tech/

Этот курс, мы расширили для максимально практического прохождения каждой темы. Все дефекты по классификации OWASP мы будем не только слушать в теории, а и отрабатывать их на практике.

Стоимость: 5900 грн

Подробности курса и программа 👉 https://start-it.ua/security-testing

Как проверить сайт на уязвимости

Взлом сайтов — один из самых распространенных типов атак. Если вам интересно, как взламывают сайты и на что нужно обратить внимание, чтобы защитить свой ресурс, то эта статья для вас. Здесь я разберу самые начала пентеста веб-приложений и на примерах покажу, как проверить сайт на уязвимости.

http://www.spy-soft.net/check-site-for-vulnerabilities/

Instant Burp Suite Starter
Luca Carettoni

Начните работу с Burp Suite, используя это практическое, краткое, быстрое и целенаправленное руководство, дающее немедленные результаты.

Вы изучите:
— Перехват HTTP / S-запросов с помощью Burp Proxy.
— Подделка и анализ ответов.
— Выполнение перечислений с помощью Burp Suite Map и Spider.
— Запуск автоматического сканирования с помощью Burp Scanner
— Автоматизация атак с помощью Burp Intruder.

Язык: Английский 🇬🇧

Занимайся хакингом с ловкостью порнозвезды
Спарк Флоу

Эта книга не об информационной безопасности. И не об информационных технологиях. Это книга о хакинге: как залезть в сеть компании, а главное — найти там самые ценные данные и успешно их эксплуатировать.

Будь вы новичком в сфере этичного хакинга, или опытный хакер — эта книга определённо для вас!

​​HTML Injection - Типы и Методы Предотвращения

Суть этого типа инъекционной атаки заключается во внедрении HTML-кода через уязвимые части веб-сайта. Злоумышленник отправляет HTML-код через любое уязвимое поле с целью изменить дизайн веб-сайта или любую информацию, отображаемую пользователю.

В результате пользователь может увидеть данные, присланные злоумышленником. Следовательно, в общем случае HTML-инъекция - это просто инъекция кода языка разметки в документ страницы.

https://protey.net/threads/html-injection-tipy-i-metody-predotvraschenija.419/

Damn Vulnerable Web Services

Damn Vulnerable Web Services (чертовски уязвимые веб-службы) – это уязвимое рабочее окружение для тестирование, которое может использоваться для изучения реальных уязвимостей веб-служб. Цель этого проекта – помочь профессионалам по безопасности в тестировании их навыков и инструментов без нарушения законов.

https://kali.tools/?p=1729

BBQSQL — среда для SQL инъекций

BBQSQL — среда для SQL инъекций, написанная на Python. ПО является чрезвычайно полезным при атаке сложных уязвимостей SQL-инъекций. BBQSQL также является полуавтоматическим инструментом, предоставляющий довольно много настроек для тех, кому тяжело работать с SQL инъекциями. Инструмент построен для того чтобы быть базой данных agnostic и весьма разносторонней. Он также имеет интуитивно понятный пользовательский интерфейс, чтобы сделать настройку атак намного проще. Python gevent также реализован в данном ПО, что делает BBQSQL чрезвычайно быстрым.

https://www.make-info.com/bbqsql-blind-sql-injection-framework/

3D Secure, или что скрывают механизмы безопасности онлайн-платежей

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей

https://m.habr.com/ru/company/dsec/blog/517268/

XPath Injection - Типы и Методы Предотвращения

В этой статье мы рассмотрим такой тип уязвимостей в web-приложениях, как - XPath Injection.

https://protey.net/threads/xpath-injection-tipy-i-metody-predotvraschenija.421/

Кто сейчас в поиске работы пенетратара, вот есть замечательный шанс присойдениься к крутой компании https://berezhasecurity.com/junior-pentester-vacancy/

Что такое фреймворк Empire и как им пользоваться для взлома различных систем.

Оригинальный проект PowerShell Empire уже давно не поддерживается, так что речь пойдет о его форке от BC-SECURITY. Этот форк продолжает развиваться и обновляться.

https://cryptoworld.su/chto-takoe-frejmvork-empire-i-kak-im-polzovatsya-dlya-vzloma-razlichnyx-sistem/

​​Давно мне пишут про то, что хотели бы получить какой-то чеклист по проверке веб приложения на уязвимости, но не все хотят читать на английском языке)) Взял за основу последний тестиг гайд от OWASP. Вот первая статейка про то как тестить передачу данных пользователя на вашем веб приложении.

https://svyat.tech/1-1-Testing-for-Credentials-Transported-over-an-Encrypted-Channel/

Так как я в ударе 😜😁Вот вам еще плюс 3 чеклиста по тестированию аутентификации на безопасность.

1.2 Testing for Default Credentials
https://svyat.tech/1-2-Testing-for-Default-Credentials/


1.3 Testing for Weak Lock Out Mechanism
https://svyat.tech/1-3-Testing-for-Weak-Lock-Out-Mechanism/


1.4 Testing for Bypassing Authentication Schema
https://svyat.tech/1-4-Testing-for-Bypassing-Authentication-Schema/

​​Все, добил раздел аутентификации, дописав еще 5 чеклистов. Теперь все места покрыты для проверки этого функционала. 🧐 Прочитав все эти 9 чеклистов, вы полностью закроете дырки в веб приложении по аутентификации, не один взломщик не зайдет так сказать😉 Приятного чтения и успешной проверки 👌😘

👉 1.5 Testing for Browser Cache Weaknesses
https://svyat.tech/1-5-Testing-for-Browser-Cache-Weaknesses/

👉 1.6 Testing for Weak Password Policy
https://svyat.tech/1-6-Testing-for-Weak-Password-Policy/

👉 1.7 Testing for Weak Security Question Answer
https://svyat.tech/1-7-Testing-for-Weak-Security-Question-Answer/

👉 1.8 Testing for Weak Password Change or Reset Functionalities
https://svyat.tech/1-8-Testing-for-Weak-Password-Change-or-Reset-Functionalities/

👉 1.9 Testing for Weaker Authentication in Alternative Channel
https://svyat.tech/1-9-Testing-for-Weaker-Authentication-in-Alternative-Channel/

Приветы, ребятки помогите сделать канал лучше, ответив на несколько вопросов в гугл форме:

👉 https://docs.google.com/forms/d/1MvcYhYQRNf1s_u2n_A4YVyZ1QO78LyRLvkv7oi3HFu4/viewform?edit_requested=true

Спасибки 😉😘

​​Ребятки приветули😉 Спасибки, что дали мне свои пожелания и обраточку по текущему флоу.

Отвечу на частые запросы))

1) По поводу показание кейсов на реальных проектах, это запрещено)) Потому что никакая компания не согласиться дать согласия чтоб ее уязвимость опубликовали где-то в статьи. А так как мы учимся белому хакингу, мы не скрываемся от своих деяний и делаем все в открытую, то я не могу публиковать такое у себя в канале😉 срок до 5 лет))

2) Также просили делать дискуссию (дать возможность переписываться по данной статье) я буду давать доступ на комментирование каждой статьи.

3) Большинство проголосовало, чтоб было до 3 постов в неделю. Давайте попробуем такой формат))

Через некоторое время соберемся и опять обсудим, если не будет нравиться😘